Britische Studie zu Cyberkriminalität im Glücksspiel-Sektor: „Professionell, schnell und verheerend“
Die Forscher untersuchten den Umgang mit Cybersicherheit im britischen Glücksspiel-Sektor (Quelle:unsplash.com/Markus Spiske)
Die Cybersicherheit im britischen Glücksspiel- und Lotteriesektor ist gut, jedoch ausbaufähig. Zu diesem Schluss kommt ein in dieser Woche veröffentlichter Bericht des staatlichen National Cyber Security Centers (NCSC). Zu den großen Herausforderungen der Branche zähle, dass Cyberangriffe immer besser durchdacht seien. Auch bei der Betrachtung der Lieferketten im Online-Glücksspiel-Bereich ergebe sich mit Blick auf die Cybersicherheit Handlungsbedarf.
Glücksspiel-Sektor von „erheblichen Vorfällen“ verschont geblieben
Ziel der Studie seien Erkenntnisse zu den größten Cyber-Bedrohungen für die britische Glücksspiel- und Lotteriebranche gewesen. Hierzu gehörten Fragen nach Art und Inhalt möglicher Delikte sowie dem Umgang des Sektors mit den Sicherheitsrisiken.
Für den Bericht [Seite auf Englisch] führte das britische Marktforschungsinstitut Ipsos MORI im Auftrag des NCSC eine Befragung unter Akteuren des Online-Glücksspiel- und Lotterie-Sektors durch.
Hierzu seien im Frühjahr 2020 acht leitende Cybersicherheitsexperten „aus einigen der größten Glücksspiel- und Lotterieorganisationen“ in einstündigen Interviews ausführlich befragt worden. Ergänzend habe es eine breit angelegte Online-Umfrage gegeben.
Etwas mehr als die Hälfte der Befragten habe angegeben, dass ihr Unternehmen in den vorangegangenen zwölf Monaten Ziel mindestens eines Cyberangriffs gewesen sei. Zu „erheblichen“ Vorfällen soll es jedoch nicht gekommen sein.
Einige der Teilnehmer hätten eine Zunahme von Cyberattacken mit Beginn der Pandemie festgestellt. Im Allgemeinen überwiege jedoch die Ansicht, dass sich das Bedrohungsniveau für die Branche nicht grundlegend verändert habe.
Datendiebstahl und DDoS-Attacken
Alle Befragten, die Cyberkriminalität gegen ihr Unternehmen registrierten, hätten Hacking oder versuchtes Hacking von Online-Benutzerkonten erlebt. Beim sogenannten Credential Stuffing verwenden Hacker die erlangten gültigen Zugangsdaten, um auf andere Webseiten zuzugreifen.
Den Branchenexperten zufolge habe diese Art der Angriffe nur „begrenzte“ Auswirkungen auf ihre Unternehmen. So habe einer der Befragten angegeben, dass „die direkten finanziellen Kosten ziemlich vernachlässigbar“ seien. Gleichwohl bestehe das Risiko nachhaltiger Imageschäden, wenn Nutzerdaten kompromittiert würden.
Zu Beginn der Pandemie kam es vermehrt zu Cyber-Attacken (Quelle:flickr.com/Christiaan Colen, licensed under CC BY-SA 2.0)
Eine deutliche Zunahme sei bei den ohnehin verbreiteten sogenannten DDoS-Angriffen verzeichnet worden. Zu Beginn der Pandemie teils um bis zu 600 %. Die gezielten massenhaften Aufrufe von Seiten sollen die Dienste für Nutzer nicht mehr erreichbar machen. Erfolgreiche Attacken dienen meist Erpressungsversuchen gegen die ins Visier genommenen Unternehmen.
Den Glücksspiel-Vertretern zufolge seien auch hier die Folgen überschaubar geblieben. So hätten die vermehrten Angriffe zwar zusätzlichen Zeitaufwand benötigt, letztlich, so ein Befragter, habe sein Team jedoch auch aus dem Homeoffice „großartige“ Arbeit geleistet.
Cybersicherheit: Unsicherheitsfaktor Mensch
Als größere Herausforderung klassifizierte einer der befragten Experten eines britischen Wettanbieters Phishing-Versuche. Generell seien die Unternehmen aufgrund vorgegebener Prozesse und Kontrollen gut gegen den Versuch von Betrügern gerüstet, über von Nutzern unabsichtlich heruntergeladene Malware infiltriert zu werden.
Zugleich hinge der Erfolg der Attacken maßgeblich vom Faktor Mensch ab. Ob Mitarbeiter einem Link folgten oder unabsichtlich Zugangsdaten preisgäben, könne vonseiten der Firmen nur begrenzt unterbunden werden.
Deutlich ausgeklügelter sei Glücksspielvertretern zufolge die sogenannte Ransomware geworden. Hierbei handelt es sich um eine Art von Malware, die Einzelpersonen oder Organisationen am Zugriff auf ihren Computer hindert. In der Regel verlangen Täter eine Zahlung, um den betroffenen Computer zu entsperren.
Die Studie zitiert hierzu einen Sicherheitsexperten eines Online-Glücksspiel-Anbieters:
Schwache Glieder in der Lieferkette
In Bezug auf ihre eigenen Unternehmen zeigten sich die Befragten zuversichtlich in Bezug auf die Stärke ihre Maßnahmen gegen Cyberkriminalität. Als Unsicherheitsfaktor galt jedoch oft die Frage der Lieferketten.
So erklärten die Verantwortlichen, dass ihre Maßnahmen zur Cybersicherheit nur sehr selten über die Vereinbarungen mit Dritten hinausgingen. Der Hauptgrund hierfür seien fehlende (vertragliche) Beziehungen zu vierten Parteien und der weiteren Lieferkette.
Gerade wenn man es mit Big Playern der Branche zu tun habe, entstünden nicht selten Schwierigkeiten bei der Durchsetzung der eigenen Sicherheitsstandards. Der für Cybersicherheit zuständiger Mitarbeiter eines Online-Glücksspiel-Anbieters erklärte hierzu:
Bei der Frage nach den ihrer Meinung nach größten Cyber-Bedrohungen der kommenden zwei bis drei Jahre seien die Prognosen auseinandergegangen.
Neben den genannten Gefahren sorgten sich die Glücksspiel- und Cybersicherheitsexperten unter anderem wegen Spiel- und Wettmanipulation sowie Insider-Angriffen. Ebenfalls genau zu beobachten sei die Weiterentwicklung krimineller Methoden, beispielsweise unter Einbezug künstlicher Intelligenz.
Ähnliche Artikel
